Установка SSL-сертификата на Zimbra / Хабр

Установка SSL-сертификата на Zimbra / Хабр Сертификаты
На чтение 11 мин. Просмотров 28 Опубликовано
Содержание
  1. Что дальше?
  2. Данные для установки в письме
  3. Как установить контейнер закрытого ключа в реестр
  4. Как установить корневой сертификат криптопро
  5. Ошибки при установке
  6. Создание csr
  7. Способ 1
  8. Способ 2
  9. Установка ssl сертификата на все компьютеры домена с помощью групповых политик | windows для системных администраторов
  10. Установка коммерческого сертификата
  11. Установка личного сертификата
  12. Установка самоподписанного сертификата

Что дальше?

Чтобы установить SSL-сертификат на сайт, воспользуйтесь инструкциями из раздела Установка SSL-сертификата.

Данные для установки в письме

где взять данные для установки ssl 3Начало письма с данными для установки

В письме вы найдёте:

Как установить контейнер закрытого ключа в реестр

  1. Подключите к компьютеру носитель с сертификатом.
  2. Перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP», откройте вкладку «Сервис» и нажмите «Скопировать».
  3. Нажмите «Обзор…», выберите контейнер с сертификатом, нажмите «ОК» и «Далее».
  4. Введите pin-код, затем нажмите «ОК».
  5. Оставьте имя контейнера по умолчанию или введите новое.
  6. В окне «Устройства» выберите «Реестр» и нажмите «ОК».
  7. Установите пароль для контейнера.

После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».

Как установить корневой сертификат криптопро

Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных.

Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.

Ошибки при установке

Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:

Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:

Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.

Создание csr

Для того, чтобы выпустить коммерческий сертификат, в первую очередь необходимо создать CSR (Certificate Signing Request) — ключ, содержащий запрос на выдачу или подпись SSL сертификата. В Zimbra создание CSR осуществляется из консоли администратора. Для этого перейдите в раздел Настройки – Сертификаты и выберите домен, для которого вы собираетесь установить сертификат. Кликните по нему правой кнопкой мыши и нажмите на “Установить сертификат”.

Переход к Мастеру установки сертификата
Переход к Мастеру установки сертификата

В открывшемся окне “Мастер установки сертификата” выберите домен, для которого будете выпускать CSR, и заполните появившуюся анкету:

Обратите внимание, при заполнении заявки на получение коммерческого сертификата вся информация должна вводиться на английском языке. Кроме того нельзя использовать символы < > ~ ! @ # $ % ^ * / ( ) ?.,&

После того как все данные корректно введены, в Мастере установки сертификатов появится окно, в котором можно будет загрузить CSR для получения коммерческого сертификата. Для этого нажмите на кнопку “Загрузить CSR” и сохраните полученный файл commercial.csr. Нажмите “Готово”, чтобы закрыть Мастер установки сертификатов.

Способ 1

1. Зайдите в контрольную панель, нажав кнопку SSL/TLS в разделе Безопасность (Security).

Способ 2

1. Заходим в контрольную панель, нажав кнопку SSL/TLS в разделе Безопасность (Security).

Про сертификаты:  SSL из PHP: socket и cURL / Хабр

2. Устанавливаем приватный ключ:

  • Выбираем «Закрытые ключи (KEY)/Private Keys (KEY) — Создать, просмотреть, отправить или удалить закрытые ключи»
  • Вставляем существующий ключ в поле «Вставьте ключ в следующее текстовое поле:» раздела «Передайте новый закрытый ключ» или загружаем его как файл в поле «Выберите файл .key/Choose a .key file» и нажимаем кнопку «Сохранить/Save».

3. Устанавливаем сертификат:

  • Выбираем пункт Создать, просмотреть, отправить или удалить сертификаты SSL в разделе «Сертификаты (CRT)»

Установка ssl сертификата на все компьютеры домена с помощью групповых политик | windows для системных администраторов

Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.

Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.

Outlook: ошибка использования недоверенного сертифката при использвании самоподписанного сертифката Exchange

Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.

В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).

MMC оснастка Certificates (Local Computer)

Перейдите в раздел Certificates (Local Computer) -> Trusted Root Certification Authorities -> Certificates.

В правом разделе найдите ваш сертификат Exchange и в контекстном меню выберите AllTasks ->Export.

Эспорт сертификата из локального хранилищаВ мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.

Файл сертифката Exchange.cer

Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким: \msk-fs01GroupPolicy$Certificates. Каталог с файлом сертифката

Перейдем к созданию политики распространения сертификата. Для этого, откройте консоль управления доменными политиками Group Policy Management (gpmc.msc). Чтобы создать новую политику, выберите OU на который она будет действовать (в нашем примере это OU с компьютерами, т.к. мы не хотим, чтобы сертификат устанавливался на сервера и технологические системы) и в контекстном меню выберите Create a GPO in this domain and Link it here

Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.

Групповая политика установки сертифката

В редакторе GPO перейдите в раздел Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Public Key Policies –> Trusted Root Certification Authorities (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Политики открытого ключа –> Доверенные корневые центры сертификации).

Про сертификаты:  Управление доверенными корневыми сертификатами в Windows 10/8

В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.

Импорт сертфиката в групповых политикахУкажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.

Мастер импорта сертификата

В соответствующем шаге мастера (Place all certificates in the following store) обязательно укажите, что сертификат нужно разместить в разделе TrustedRootCertificationAuthorities (Доверенные корневые центры сертификации).

Trusted Root Certification Authorities Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.

Протестируйте политику, выполнив на клиенте обновление политик командой (gpupdate /force). Проверьте что ваш сертификат появился в списке доверенных сертификатов. Это можно сделать в оснастке управления сертификатами (раздел Trusted Root Certification Authorities -> Certificates) или в настройках Internet Explorer (Internet Options -> Content ->Certificates-> Trusted Root Certification Authorities или Свойства обозревателя -> Содержание -> Сертификаты -> Доверенные корневые центры сертификации).

Список доверенных сертификатов в IE

Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchange (в Outlook 2021 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.

Если вы хотите, чтобы политика распространения сертификата применялась только к компьютерам (пользователям) в определенной группе безопасности, выберите в консоли Group Policy Management вашу политику Install-Exchange-Cert. На вкладке Scope в секции Security Filtering удалите группу Authenticated Users и добавьте вашу группу безопасности (например, AllowAutoDeployExchCert). Если прилинковать эту политику на корень домена, ваш сертификат будет автоматически распространен на все компьютеры, добавленные в группу безопасности.

группа, на которую автоматически через gpo добавляется в довененные ssl сертификат

Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.

gpo информация об устанавливаемых сертификатах

Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.

Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).

Установка коммерческого сертификата

После использования CSR-файла для выпуска SSL-сертификата у выбранного вами удостоверяющего центра, вы получите архив, в котором будут содержаться три файла:

Для их установки необходимо воспользоваться тем же мастером установки сертификатов, который использовался для получения CSR, но после выбора домена необходимо отметить “Установить коммерчески подписываемый сертификат” и нажать на кнопку “Далее”.

Про сертификаты:  Что такое гэпы на бирже и как их используют инвесторы

Сертификат: соответствует сертификату вашего домена your_domain_name.crt

Корневой центр сертификации: соответствует сертификату корневого удостоверяющего центра TrustedRoot.crt

Промежуточный центр сертификации: соответствует сертификату удостоверяющего центра DigiCertCA.crt. 

В том случае, если у вас несколько промежуточных центров сертификации, можно добавить один или несколько из них, нажав на “Добавить промежуточный центр сертификации”.

Окно выбора файлов сертификата
Окно выбора файлов сертификата

Нажмите “Далее” и затем кнопку “Установить”. Убедиться в том, что сертификат корректно установился, можно просмотрев используемый сертификат домена дважды кликнув мышкой на нем в разделе Настройки – Сертификаты.

Установить сертификат можно и в командной строке. Для этого:

1. Перейдите в папку с распакованными файлами из архива, полученного от Центра сертификации и объедините сертификаты от Центров сертификации в единый файл 

cat TrustedRoot.crt DigiCertCA.crt > /tmp/commercial_ca.crt

2. Скопируйте сертификат домена в ту же папку

cp my_domain_com.crt /tmp/commercial.crt

3. Проверьте на целостность сертификат сервера, файл с данными о Центре сертификации, а также приватный ключ

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt

4. Установите полученные и проверенные сертификаты:

/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt

5. Перезагрузите сервер Zimbra, чтобы изменения вступили в силу

zmcontrol restart

Для установки сертификата от Let’s Encrypt убедитесь, что он был получен с параметром –preferred-chain “ISRG Root X1”. В том случае, если вы уже получили сертификат без этой опции, используйте параметры –force-renewal –preferred-chain “ISRG Root X1” для его принудительного перевыпуска.

После того как сертификат будет корректно получен, можно установить его в Zimbra OSE от имени Root, введя команды вида:

Установка личного сертификата

Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:

Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.

Установка самоподписанного сертификата

По умолчанию срок действия самоподписанного сертификата Zimbra составляет 5 лет. Это значительно больше срока поддержки LTS-версий Zimbra OSE и, скорее всего, у администратора сервера не возникнет потребности в том, чтобы его обновлять.  Однако все же возникают ситуации, при которых у администратора возникает необходимость обновить самоподписанный сертификат.

В первом случае вам потребуется открыть Мастер установки сертификата и выбрать в нем раздел “Установить самозаверяющий сертификат”. При нажатии кнопки далее откроется анкета для создания CSR. После ее заполнения вам будет предложено настроить срок действия сертификата.

В командной строке выполните команды:

В том случае, если почтовый сервер предназначен для работы исключительно с корпоративными устройствами, можно добавить используемый на нем самоподписанный сертификат в доверенные на машинах пользователей. Для этого экспортируйте используемый сертификат  с помощью команд:

sudo sucd /opt/zimbra/ssl/zimbra/caopenssl x509 -in ca.pem -outform DER -out ~/zimbra.cer

После этого скопируйте полученный сертификат на целевые машины и дважды кликните по нему мышкой. В открывшемся окне нужно выбрать «Установить сертификат» и импортировать его в Мастере импорта сертификатов. Единственный нюанс при его установке, что при выборе хранилища для сертификата необходимо поместить его в хранилище «Доверенные корневые центры сертификации».

IIS mail security special web windows
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат